it-swarm-tr.com

Bilgisayar güvenliği alanındaki kariyer yolları nelerdir?

Ne tür işler var, hangi örgütlerde, ne tür günlük sorumluluklarla?

Okuldan çıkan insanlar için hangi alanlar iyi, vs çeşitli disiplinlerden gelen deneyimli insanlar için iyi 2. kariyer nedir?

85
nealmcb

Niş "güvenlik" olarak göründüğü gibi, aslında birkaç ana rol türünü ve birkaç kapsam alanını kapsar. Bunlar aslında çok farklı ...

Ortak roller:

  • Kurumsal BT güvenlik departmanı
    Bu adamlar genellikle çoğunlukla politika uygulama, denetim, kullanıcı farkındalığı, izleme, bazı kurumsal çaplı girişimler (örn. SIEM, IdM, vb.) Ve ara sıra Olay Müdahalesi ile ilgilenir. Ayrıca, üçüncü taraf ürünleri (COTS veya FOSS olsun) satın almak ve herhangi bir dış kaynak RFP'sinde güvenlik PoV'sı verin.
  • Geliştirme grubunda güvenlik ekibi (kurumsal veya dev mağazalarda)
    Çoğunlukla programcı eğitimi ve eğitimi ile ilgilenin, bazı güvenlik testleri (veya harici testleri yönetin, aşağıya bakın) - bu, kodun hem pentesting'i hem de gözden geçirilmesini, belki de güvenlik özelliklerini tanımlamayı içerir. Bazı kuruluşlar güvenlik ekibinin riskleri yönetmesini, tehdit modellemesine katılmasını vb.
  • Harici danışman/denetçi/güvenlik test cihazı
    Bu genellikle bir şekilde yukarıdakilerin tümünü kapsar, çoğunlukla penetrasyon testi, kod incelemeleri ve mevzuata uygunluk denetimi (örneğin PCI) üzerinde durulur. Buna ek olarak, güvenlik uzmanı olarak hizmet veren, ilgili tüm tavsiyeleri sağlamak gibi diğer kuruluş türleri için go-adamlar .... bu nedenle genellikle (her zaman böyle olmasa da ;-)) daha güncel olması bekleniyor herkesten daha.
  • Araştırmacı
    Bu, kriptologlar gibi akademik düzeydeki araştırmaları ve ayrıca daha büyük güvenlik sağlayıcılarının bazılarındaki araştırma departmanlarını, yeni istismarları/virüsleri/saldırıları/kusurları/azaltma modellerini/vb. oldukça farklı, satıcı araştırmaları genellikle ürün geliştirme olarak kabul edilirken, akademik araştırmalar - aslında, bununla gerçekten konuşamam, çünkü bilmiyorum ...

Benzer şekilde, yukarıdakilerin hepsinde farklı uzmanlık alanları vardır ve bir uzmanın başka herhangi bir alanda söylemesi akıllıca bir şey olması gerekmez:

  • Ağ güvenliği, ör. yönlendiriciler, güvenlik duvarı, ağ segmentasyonu ve mimarisi vb.
  • Elbette O/S lezzetine göre alt bölümlere ayrılmış olan O/S güvenliği (yani Windows güvenlik uzmanı ve Linux güvenlik uzmanları birbirlerinin şeyleri hakkında fazla bilgi sahibi olmayabilir).
  • Uygulama güvenliği - güvenli bir şekilde nasıl programlanacağı (hangi dile, teknolojiye vb. Göre alt bölümlere ayırmak için gerekli olabilir , aynı zamanda uygulama katmanı saldırıları, Örneğin Web saldırıları vb.
  • Risk yönetimi uzmanları - daha çok iş dünyasına, daha az teknik
  • Uyum görevlileri - bazı yerler bunlara adanmıştır ve ilgili tüm yönetmelikler ve benzeri konularda uzmanlardır (bunun sınırda avukat benzeri bir çalışma olduğunu unutmayın!)
  • Kimlik mimarları - karmaşık IdM uygulamaları ve benzeri olan daha büyük, güvenlik bilincine sahip kuruluşlar için ...
  • Denetim ve adli tıp uzmanları, esas olarak SIEM/SIM/SOC ve ayrıca olaydan sonraki soruşturmalarla ilgilenmektedir.

Bunun da ötesinde, güvenli sistemleri (yığının her seviyesinde) inşa etme konusunda uzmanlaşmış bazıları ve zamanlarını onları kırmak için harcayanlar var - ve bu her zaman paylaşılan bir uzmanlık değil.

Muhtemelen atladığım daha niş nişler var, ama resmi almaya başlıyorsunuz ... Gördüğünüz gibi, bir güvenlik görevlisinin veya gal'in günlük bazda ne yaptığı kadar geniş ve çalıştıkları şirketler ve üzerinde çalıştıkları sistemler olarak değişiyordu. Çoğu zaman, bu, birkaç şapka değiştirmeyi ve çoğunlukla kısa görevler üzerinde çalışmayı gerektirir ... AMA aynı kalır (genellikle), genellikle güvenlik duvarı kurallarını tanımlayan teknik bir iş olsun, risklere (ve tehditlere) odaklanma gereksinimidir veya kuruluşun mevcut güvenlik durumu hakkında işletme ve avukat türleri ile iletişim kurmak.

Tarlaya nasıl girilir? İdeal olarak, başka bir alanda, daha sonra güvenlik konusunda uzmanlaşabileceğiniz bir deneyim (tercihen uzmanlık) vardır.
Eskiden ağ mühendisi misiniz? Harika, ağ güvenliğine odaklanın ve oradan gidin.
Şu anda sistem yöneticisisiniz? Harika, muhtemelen zaten güvenlik üzerinde biraz çalıştınız, o alanda daha fazla öğrenmeye başlayın.
Çocukluğundan beri program yapıyorsun ve güvenliğe mi geçmek istiyorsun? Fantastik, giriş doğrulama, kriptografi, tehdit azaltma, güvenli DB erişimi vb. Hakkında bilgi edinmiş olmalısınız ... Daha fazlasını öğrenin, neyi kaçırdığınızı anlayın ve sonra beni arayın ;-).
Ve böylece ... Öte yandan, arka planınız yoksa ve güvenlikle başlamak istiyorsanız, bu daha zor - çünkü açıkladığım gibi, çoğu zaman güvenlik görevlilerinin uzman ne olursa olsun. Bir pentesting ekibine katılmayı ve oradan büyümeyi deneyebilirsiniz ... Önemli olan risk yönetimine (ve teknik tehdit modeli için) odaklanmaktır.

Ayrıca çok fazla güvenlik kitap ve blog okumayı (Bruce Schneier'in öğelerinden hoşlanıyorum) şiddetle tavsiye ediyorum ve ayrıca şeylerin uygulama tarafı için OWASP deneyin.

80
AviD

İleride başvurmak ve eksiksiz olmak için, K Cyber ​​Security Challenge sitesinin, her biri ve örnek rollerle ilgili açıklamalarla birlikte 8 farklı güvenlik rolü kategorisinin Güzel bir listesine sahip olduğunu da eklemek isterim. Bilgi Güvenliği Uzmanları Enstitüsü (IISP) (sanırım bir çalışmadan sonra).

http://cybersecuritychallenge.org.uk/careers/typical-roles/

Ben burada içeriği alıntı:

Olay ve Tehdit Yöneticileri, Adli Tıp Uzmanları.

Öyle ya da böyle işiniz kömür yüzünde. Kuruluşunuzun ağının güvenliğini yönetebilir ve saldırganları uzak tutabilirsiniz. Güvenliklerini değerlendirmek ve onları saldırılara karşı nasıl daha az savunmasız hale getirmeleri konusunda tavsiyede bulunmak için diğer ağları test eden bir şirket için çalışabilirsiniz. Hiç kimse tüm olaylardan kaçınamaz, bu nedenle bir olay yöneticisi olabilir, bir krizde hızlı bir şekilde yanıt verebilir ve etkisini yönetebilirsiniz. İşletmenin yapması zor seçimler olabilir. Sistemlerin yeniden çalışmasını sağlamak için neler olduğu veya ne yapılması gerektiği konusunda teknik bilginiz olmayabilir, ancak belirli işlevlerin durdurulması durumunda iş üzerindeki etkisi hakkında bilgi sahibi olabilecek diğer yöneticilerle çalışmanız gerekecektir. Adli analiz yapmanız gerekebilir - saldırganın nasıl girdiğini ve ne yaptığını görmek için. Farklı olaylara yanıt vermek için ne yapılacağını planlamak, tüm farklı talepleri dengelemek bir krizi iyi yönetmek için önemli olacaktır ve iş sürekliliği planlama ekibinin önemli bir üyesi olmanız muhtemeldir. Bu alanda yeni kötü amaçlı yazılımları inceleyen, karşı önlemleri çalıştıran ve daha pek çok teknik iş var. Ayrıca, mobil cihazlar artık daha fazla veri tutuyor ve daha önce sadece bir bilgisayarda mümkün olan işlevleri yerine getiriyor.

Bu kategorideki örnek roller: Olay ve Tehdit Yönetimi ve Müdahalesi. Olay Yöneticisi, Tehdit Yöneticisi, Adli Tıp - bilgisayar - mobil ve ağ - analisti, CSIRT, Saldırı Araştırmacısı, Kötü Amaçlı Yazılım analisti, Penetrasyon Test Cihazı, Olağanüstü Durum Kurtarma, İş Sürekliliği.

Risk Analistleri ve Yöneticileri.

Bunu yapmak için, farklı tehditlerin bir işletmeyi nasıl etkileyeceğini anlamanız ve hangi risklerin karşılanacağını ve hangilerinin alınacağını bildirmeniz gerekir. Kurul tavsiyelerinizi dinleyecek ve iş üzerindeki etkisini açıkça gösteren teknik olmayan dilde riskleri açıklayabilmeniz gerekecektir. Bazı risk yöneticileri teknik değildir ve iş dünyasına girmiştir, diğerleri işin teknik tarafından gelmektedir. Bazı insanlar ağların denetiminde yer alır ve uyumluluk konularının anlaşılmasını ve ele alınmasını sağlar. Anketimize verilen bir cevap, bu kişilerin “risk ve uyumluluk konusunda müşterilerimize gidip konuştuğunu, kanunu, mevzuattaki her türlü değişikliği ve zayıflığın tespit edilmesini ve müşterilerin uyum sağlamasına yardımcı olduğunu” söyledi.

Bu kategorideki örnek roller: Risk Yönetimi, Doğrulama ve Uyum. Risk Analisti, Risk Değerlendiricisi, İşletme Bilgi Güvenliği Görevlisi, Hakem, Denetçi.

Politika Yapıcılar ve Stratejistler.

Bunlar, bir şirketin birçok farklı güvenlik riskiyle nasıl başa çıkacağını tanımlayacak güvenlik politikaları geliştiren kişilerdir. Politikanın doğru yapılması, bir kuruluşun yasal yükümlülüklerini yerine getirmesi için bir zorunluluktur. İnsanların politikaları uygulamalarını sağlamak, insanlara politikaların neden önemli olduğunu göstermek ve tavsiyelere uymamanın potansiyel sonuçları hakkında farkındalık yaratmak anlamına gelir. Özel sektörde, CISO'lar (Baş Bilgi Güvenliği Görevlileri) vardır ve bu çalışmaya genellikle bir ekip tarafından destek verilir. Hükümet'te ITSO'lar (BT güvenlik görevlileri) ve DSO'lar (Departman güvenlik görevlileri) vardır. İkincisi fiziksel, personel ve bilgi güvenliği konularından sorumludur ve BT güvenlik görevlisi genellikle onlara rapor verir.

Bu kategorideki örnek roller: Strateji, Politika, Yönetişim. Strateji Uzmanı, Politika Yöneticisi, ITSO, DSO, CISO.

İşlemler ve Güvenlik Yönetimi.

Kuruluşunuzun ağlarındaki, dizüstü bilgisayarlarındaki veya mobil cihazlarındaki verilerini korumaktan siz sorumlu olabilirsiniz. Hepimiz çalışmanın farklı yollarını seçtiğimizden ve yeni teknolojilerin geliştirilmesi günlük olarak yeni olanaklar yarattığından güncel kalmanız gerekecektir. Şifrelemeyi ve Güvenlik Duvarları, güvenlik günlükleri ve olay bildirimi ile ilgili kurallar gibi diğer koruyucu önlemleri yönetebilirsiniz.

Bu kategorideki örnek roller: Operasyonlar ve Güvenlik Yönetimi. Ağ Güvenlik Görevlisi, Sistem Güvenlik Görevlisi, Bilgi Güvenliği Görevlisi, Kripto velayetleri, Bilgi Yöneticileri.

Mühendislik, Mimarlık ve Tasarım.

Bir sistemin tasarımını doğru bir şekilde yapabilirseniz, saldırganların girmesini zorlaştırabilirsiniz. Ancak durum günlük olarak değişir ve eğer devam ederseniz hızlı koşmanız gerekir. Donanım veya yazılım, tasarım ve geliştirme veya güvenli uygulamalarla uğraşıyor olabilirsiniz. Yetenekli bir güvenli yazılım yazarı olabilirsiniz - geçmişte kodlayıcılarımızın çoğu, ilk piyasaya sürülme baskısı ve güvenlik konusunda yetersiz farkındalığa sahipti. Güvenlik araçları tasarlayabilir veya satabilirsiniz. Satış ve pazarlama işin önemli bir parçasıdır.

Bu kategorideki örnek roller: Mühendislik, Mimarlık ve Tasarım. Mimar, Tasarımcı, Geliştirme, Güvenli kodlama, yazılım tasarımı ve geliştirme, uygulama geliştirme. Güvenlik araçları, Uygulama.

Eğitim, Öğretim ve Farkındalık.

Eğitim günümüzde iş dünyasında çoğumuz için sürekli bir ihtiyaçtır. Yeni teknolojiler geldikçe, işin hayatta kalmasını ve güvenli bir şekilde başarılı olmasını sağlamak için personelin bunları etkili bir şekilde nasıl kullanacağını anlamaları gerekir; Uzmanların da yeni saldırı vektörlerini, yeni güvenlik yönetim yollarını, yeni risk değerlendirme ve iletişim yollarını anlamaları için güncel tutulması gerekmektedir. Bazı satış işleri, müşterileri işletmelerinde ihtiyaç duydukları şey hakkında eğittikleri için bu işe yakındır. Tüm eğitim seviyeleri ile ilgilenen ve malzemelerini güncel tutmak için çok iyi çalışan en iyi eğitim şirketleri vardır. Anketimize katılanlardan biri işini şöyle tanımladı: “Siber Güvenlik ile ilgili konularda hem şirket içinde hem de diğer kuruluşlara hizmet olarak farkındalık yaratmak. Şirket içinde ve diğer kuruluşlara hizmet olarak Siber Güvenlik eğitim kursları üretmek, akredite etmek ve sağlamak ”.

Bu kategorideki örnek roller: Eğitim, Öğretim ve Bilinçlendirme. Güvenlik Program Yöneticisi.

Araştırma.

Bazı araştırma alanları var, bazıları son derece teknik, bazıları ise çok daha politika odaklı. Bazıları, teknik yardım almadan anlayabildiğimizden daha hızlı değişen durumları anlamamıza yardımcı olmak için karmaşık modeller oluşturur. Diğerleri geleceğin teknolojilerini ve güvenliği daha iyi yönetmemize nasıl yardımcı olabileceklerini düşünüyor. Ankete katılanlar işleri “Riski yönetmek için yeni teknolojileri araştırmak ve yeni teknolojilerle riski yönetmeyi öğrenmek” şeklinde tanımladılar. Güvenlik araştırmalarındaki çoğu kişi eski, kripto, güvenlik duvarları vb. Üzerinde yoğunlaşmaktadır, ancak ikincisi, Internet 2.0'ı güvence altına almak çok daha önemlidir ”; “Bir sonraki“ büyük şeyi ”aramak”; “Gerçek dünyada saldırıların nasıl yapıldığını araştırmak. Çeşitli kötü amaçlı yazılım türlerini ve bunların nasıl değiştiğini takip etmek, müşterilere karşı büyük grevleri önlemeyi mümkün kılar. Gerçek dünyada görülenlere dayalı yeni ürünler icat edin ve bu ürünleri üretmek için geliştiricilerle birlikte çalışın. ”

Bu kategorideki örnek roller: Araştırma. Güvenlik Araştırmacısı.

İnternet suçu ve veri koruma konusunda tavsiye ve kovuşturma konusunda uzmanlaşmış avukatlar.

Veri güvenliği ve internet suçlarının tavsiye ve takibi. Bu suçların faillerini yargılamak kolay değildir ve şirketlerin sorumluluklarını anlamak ve kanıtları bir araya getirmek için yardıma ihtiyaçları vardır. Son yılların veri kayıplarından bu yana yasada bazı önemli değişiklikler olmuştur. Örneğin, insanların sistemlerindeki verilere yeterince bakmayan kuruluşlar 0,5 milyon £ 'a kadar para cezasına çarptırılabilir, bu nedenle birçoğu güvenlik politikalarının amaca uygun olduğundan emin olmak için denetlenmesini ister.

Bu kategorideki örnek roller: Veri koruma ve İnternet suçu konusunda tavsiye ve kovuşturma için avukat.

27
john

SANS Enstitüsü, konuyla ilgili 5.00 $ 'lık bir broşür sunmaktadır: Bilgi Güvenliğinde En Güzel 20 İş . Bu web sayfası, başlıkları birkaç örnek açıklama ile birlikte listeler.

4
P3nT3ster